Grave fallo de seguridad en Skype permitía el secuestro de cuentas

De vez en cuando lees acerca de una vulnerabilidad y te quedas acojonado acongojado. Un sudor frío recorre tu espalda y te sientes un poquito más inseguro. Hablamos de una vulnerabilidad que afectaba al servicio de VoIP de M$, es decir, al archiutilizado Skype. 

Se trataba de un fallo muy tonto que a la postre se ha convertido en una de las brechas de seguridad más grandes conocidas hasta ahora en Skype. Concretamente cualquiera, sin necesidad de grandes conocimientos, podía acceder a una cuenta de Skype de otro usuario tan solo conociendo su dirección de correo electrónico y cambiando la contraseña. 

El procedimiento para conseguirlo se publicó hace dos meses en el foro ruso Xeksec y puede completarse en unos sencillos pasos, eso sí, lo dejamos como PoC porque actualmente y para impedir el secuestro de más cuentas se ha desactivado temporalmente el restablecimiento de contraseña:
 
1. Crea una cuenta nueva y usa el mail de la víctima:
  
2. Abre la aplicación de Skype con esas credenciales:
  

3. Solicita la recuperación de contraseña:

  
 
4. Skype envía el token de recuperación de contraseña al mail y a la aplicación:
 
5. Abres el enlace del token, Skype detecta más de una cuenta asociada a ese mail, eliges el de la víctima y ¡puedes cambiar su contraseña!
  
(capturas de pantalla de pixus.ru)

Comentarios